8.

Which preventive, detective, and/or corrective controls would best mitigate the following
threats?

a. An employee's laptop was stolen at the airport. The laptop contained personally identifying
information about the company's customers that could potentially be used to commit identity
theft.

Jawab :

Preventive:Seharusnya semua data yang disimpan di computer perusahaan dienkripsi.

Seharusnya laptop yang digunakan diluar kantor dienkripsi datanya secara otomatis,
supaya tidak ada resiko disaat laptop tersebut digunakan diluar kantor dan datanya
tidak akan bisa dibaca oleh pembobol dengan menggunakan suatu sistem informasi
yang baik seperti sistem pelacakan yang di sambungkan di hardware kantor dalam
perusahaan. Para karyawan harus dapat melindungi laptop tersebut dari orang lain ,
terutama saat berpergian dengan cara jangan meninggalkan laptop tersebut
misalnya( ke starbucks membawa laptop jangan sampai ditinggal, kalau perlu
laptopnya harus menggunakan password yang tidak mudah dan menggunakkan face
lock).

Detective : Ketika akan terjadi suatu kejadian tersebut akan lebih cepat diketahui
karena dapat dilacak dengan mudah orang yang melihat data tersebut.

Corrective : Perusahaan seharusnya segera membangun internal control untuk

mengurangi resiko dengan cara mengenkripsi seluruh data di komputer (yang dipakai
di luar kantor) lalu menggunakan sistem pelacakan supaya keberadaan
laptop/hardware lain dapat dikoreksi.

b. A salesperson successfully logged into the payroll system by guessing the payroll supervisor's
password.

Jawab :

Preventive : supervisor seharusnya membuat password yang sulit untuk ditebak agar
seseorang yang berusaha menebak sulit/sangat susah ditebak untuk menebaknya
atau menggunakan masuk kedalam harus berlapis-lapis yaitu berupa password dan
verifikasi wajah. Karena karyawan itu menebak-nebak password nya, tetapi tidak tahu
berapa banyak upaya yang dilakukan karyawan tersebut untuk menebak kata sandi
 yang benar, karyawan itu seharusnya tidak dapat memasukkan kata sandinya lagi
setelah melewati maksimal pemasukan kata sandi. Biasanya maksimal tiga kali. Selain
itu, jika karyawan dapat menebak kata sandi manajer, ini menunjukkan bahwa kata
sandi itu tidak cukup aman. Perusahaan harus memiliki kebijakan di mana kata sandi
harus berupa campuran karakter, huruf, dan angka dengan panjang minimum. Kata
sandi yang terlalu pendek (4 karakter atau kurang) lebih mudah ditebak daripada kata
sandi yang lebih panjang. Lalu, ruangan payroll dapat menggunakan akses control
seperti sidik jari saat memasuki ruangan payroll supaya tidak sembarangan orang
dapat untuk masuk.

Detective : Suatu kejadian terjadi karena software nya tidak melakukan sistem yang
dapat memaksimalkan memasuki password (jadi bisa di coba terus hingga
menemukan password yang benar dan kemungkinan password yang digunakan
sangat singkat dan mudah sampai dapat diketahui, misalnya (tanggal lahir).

Corrective :Setelah mengetahui resiko yang akan terjadi, perusahaan harus segera
membangun control untuk mengurangi resiko tersebut dengan menggunakan system
maksimal dalam memasuki password. Jika salah memasukkan kata sandi sebanyak 3x,
maka aplikasi tersebut tidak bias dibuka dalam 3 jam kedepan. Lalu menggunakan
akses kontrol yang bagus supaya tidak sembarangan orang masuk keruangan itu dan
menggunakan aplikasi/software yang aman.

c. A criminal remotely accessed a sensitive database using the authentication credentials (user
ID and strong password) of an IT manager. At the time the attack occurred, the IT manager was
logged into the system at his workstation at company headquarters.

Jawab :

Preventive : seharusnya IT harus mengganti password untuk beberapa kali dalam

sebulan sekali untuk menghindari kejahatan yang terjadi pada kasus di atas bisa juga
manajer IT juga menerapkan system yang baik dengan cara jika setiap akun tersebut
masuk akan ada notifikasi muncul (dari e-mail/semacamnya) jam berapa log in, letak
tempat log in, dan semacamnya

Detective : di deteksi bahwa kurangnya sistem yang dipakai saat masuk ke database
perusahaan.

Corrective:jika mengetahui resiko yang akan terjadi,maka perusahaan harus segera

membuat internal control untuk mengurangi resiko tersebut dengan harus memiliki
set kontrol di mana pengguna kedua tidak bisa masuk kedalam database saat
 pengguna pertama sudah masuk.tidak ada double account yang masuk dengan sistem
informasi akan menolaknya. Jika manajer IT masuk dan orang lain ingin mencoba
masuk ke database pada saat yang sama, upaya login oleh orang kedua harus secara
otomatis menghasilkan pemberitahuan kepada bagian dalam posisi otoritas para
atasan untuk memberitahu bahwa ada yang mencoba memasuki data tersebut.

d. An employee received an email purporting to be from her boss informing her of an important
new attendance policy. When she clicked on a link embedded in the email to view the new
policy, she infected her laptop with a keystroke logger.

Jawab :

Preventive: Pelatihan kesadaran keamanan adalah yang bagus untuk mencegah

masalah seperti itu. Karyawan harus belajar bahwa ini adalah contoh umum penipuan
yang canggih yang tidak mudah diketahui

Detective : Mengetahui itu adalah sebuah email penipuan yang tidak benar.

Corrective: Setelah mengetahui resiko yang akan terjadi, perusahaan harus segera
membangun control untuk mengurangi resiko tersebut dengan menggunakan
software yang otomatis memeriksa dan membersihkan semua terdeteksi pada
computer karyawan sebagai bagian dari proses masuk untuk mengakses system
informasi perusahaan. karyawan juga sebaikanya menggunakan antivirus untuk
laptop tersebut. E-mail tersebutseharusnya juga memiliki system yang baik bahwa
sebelum seseorang mengirimkan pesanke orang lain system tersebut bisa
menentukan apakah pesan/data yang di kirimkan oleh orang tersebutmemiliki virus
atau tidak.

e. A company’s programning staff wrote custom code for the shopping cart feature on its Web
site. The code contained a buffer overflow vulnerability that could be exploited when the
customer typed in the ship-to address.

Jawab :

Preventive :Mengajari programmer mengamankan praktik pemrograman, termasuk

untuk memeriksa semua input pengguna dengan cermat.

Detective :Pastikan program diuji secara menyeluruh sebelum mulai digunakan dan
mintalah auditor internal secara rutin menguji perangkat lunak tersebut.
 Staff program seharusnya tidak menuliskan kode khusus untuk fitur keranjang belanja di
situs webnya karena itu akan merugikan perusahaan. Kode berisi kerentanan buffer
overflow yang dapat di eksploitasikan ketika pelanggan menuliskan kode tersebut di
alamat web

f. A company purchased the leading "off-the-shelf" e-commers software or linking its electronic
storefront to its inventory database. A customer discovered a way to directly access the back-
end database by entering appropriate SQL code.

Jawab :

Preventive : Perusahaan sebaiknya menggunakan sitem yang baik. Agar kasus di atas
tidak terjadi, perusahaan harus mempunyai tingkat keamanan pada perangkat lunak
yang di beli itu.

g. Attackers broke into the company's information system through a wireless access point
located in one of its retail stores. The wireless access point had been purchased and installed by
the store manager without informing central IT or security.

Jawab :

Preventive :Melakukan ketentuan kebijakan dan prosedur yang digunakan untuk

melarang pemasangan titik akses yang tidak sah.

Detective :Melakukan audit rutin untuk jalur akses nirkabel yang tidak sah atau jahat.

Corrective :Setelah mengetahui resiko yang akan terjadi, perusahaan harus segera
membangun internal control untuk mengurangi resiko tersebut dengan memberikan
sanksi karyawan yang melanggar kebijakan

 Jika perusahaan memiliki sistem informasi yang baik juga jika ada yang akses yang tidak
di kenal untuk masuk ke sistem informasi perusahaan, sistem tersebut akan
menolaknya. Semua bergantung pada pengaturan apa yang di pilih perusahaan dan
tingkat keamanan yang telah di pilih oleh perusahaan.

h. An employee picked up a USB drive in the parking lot and plugged it into their laptop to "see
what was on it," which resulted in a keystroke logger being installed on that laptop.

Jawab :
 Preventive : Menggunakan perangkat lunak anti-software yang secara otomatis
memeriksa dan membersihkan semua software yang terdeteksi pada computer
karyawan

Detective : Menggunakan perangkat lunak anti-spyware

Corrective :kemudian sudah mengetahui akibat yang akan terjadi, perusahaan harus
segera membangun control untuk mengurangi resiko tersebut dengan menggunakan
software anti-spyware yang secara otomatis memeriksa dan membersihkan semua
spyware yang terdeteksi pada computer karyawan sebagai bagian dari proses masuk
untuk mengakses system informasi perusahaan. Karyawan sebaiknya tidak mengambil
USB yang asalnya tidak jelas dan langsung membukanya. Karena bisa saja USB
tersebut terdapat virus/cookies yang dapat membahayakan laptopnya. Sehingga
berakibat kerugian yaitu dapat merusak data data/ dokumen penting milik
perusahaan yang ada di laptop, data data/ dokumen penting bisa hilang seketika
sehingga pas sedang di butuhkan data tersebut tidak ada dan dapat merugikan diri
sendiri.

i. Once an attack on the company’s website was discovered, it took more than 30 minutes to
determine who to contact to initiate response actions.

Jawab :

Preventive: Merekrut karyawan untuk bagian IT untuk mematikan serangan yang terjadi
diperusahaan. Jadi perusahaan tidak perlu susah payah mencari seseorang yang harus
dihubungi bisa hal tersebut terjadi jika ada kendala yang akan muncul.

Detective : Mendeteksi serangan yang mungkin akan terjadi.

Corrective:Setelah mengetahui resiko yang akan terjadi, perusahaan harus segera

membangun control untuk mengurangi resiko tersebut dengan merekrut tenaga kerja
IT yang professional.

j. To facilitate working from home, an employee installed a modem on his office workstation.
An attacker successfully penetrated the company's system by dialing into that modem.

Jawab :

Preventive: Pemeriksaan secara rutin untuk modem yang tidak sah tersebut dengan
memutar semua nomor telepon yang diberikan kepada perusahaan dan
mengidentifikasi mereka yang terhubung ke modem. Jika perusahaan memiliki sitem
 yang baik jika ada akses dari mana pun yang terhubung dengan system perusahaan
maka sistem itu akan memberitahu perusahaan bahwa ada sesuatu yang terhubung
dengan system informasi perusahaan atau jika terdapat akses yang ingin terhubung
dengan system informasi milik perusahaan harus melalui autorisasi / verifikasi dari
pusat, perusahaan juga dapat mengetahui jam berapa terhubung dengan system
perusahaan, letak tempat dimana terhubung dengan system informasi, dan
semacamnya melalui notifikasi/pemberitahuan, jika ada yang akses yang tidak di
kenal untuk masuk ke system perusahaan, system tersebut akan menolaknya.

k. An attacker gained access to the company's internal network by installing a wireless access
point in a wiring closet located next to the elevators on the fourth floor of a high-rise office
building that the company shared with seven other companies.

Jawab :

Preventive:Membatasi akses ke lantai 4 di perusahaan tersebut dan mengkunci lemari

pengkabelan tersebut supaya tidak disalahgunakan. Bisa juga menggunakan CCTV di
setiap lantai supaya dapat terdeteksi kalau ada pencuri yang masuk kesana.

Detective : Melakukan audit rutin untuk jalur akses nirkabel yang tidak sah.

Corrective: Setelah mengetahui resiko yang akan terjadi, perusahaan harus segera
melakukan pencarian terhadap penyerang itu dan segera memutuskan nirkabelnya.

8.6
A. Jawab:

CURRENT TIME BASED MODEL :

Current Time Based Model

P D R Time Based Security P > D + R

Best 25 5 6 25 > (5+6)-> (11)

Average 20 8 14 20 < (8+14)->(22)

Worst 15 10 20 15 < (10+20)->(30)

TIME BASED MOCEL P > D +¿ C

Best case lebihbesar P karena 25 > 5 +¿ 6
Average case lebihkecil P karena 20 > 8+¿ 14
Worst case lebihkecil P karena 15>10+¿ 20

B. Jawab:

PERTAMA

$75,000

Best case, pilihan $75.000 adalah pilihan terbaik karena memenuhi time based model
Average case, pilihan$75.000 adalah pilihan terbaik karena memenuhi time based model
Worst case, pilihan $75.000 adalah pilihan terbaik karena memenuhi time based model

KEDUA

$25.000

Best case, pilihan $25.000 adalah pilihan terbaik karena memenuhi time based model.
Average case, pilihan $25.000 adalah pilihan terbaik karena memenuhi time based model
Worst case, pilihan $25.000 adalah tidak baik karena tidak memenuhi time based costing

Pilih yang $75.000 karena pilihan tersebut yang terbaik